Recolha registos da Cambium Networks

Compatível com:

Este documento explica como carregar registos da Cambium Networks para o Google Security Operations através do Bindplane. O analisador extrai pares de chaves-valores de mensagens syslog do comutador e router da Cambium Networks, mapeando-os para um modelo de dados unificado (UDM). Usa o Grok para estruturar a mensagem inicial, o KV para separar pares de chave-valor e declarações condicionais para mapear campos extraídos para atributos UDM específicos, categorizando os eventos como "STATUS_UPDATE" ou "GENERIC_EVENT".

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Windows 2016 ou posterior, ou um anfitrião Linux com systemd
  • Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
  • Acesso privilegiado a dispositivos Cambium Networks

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Agentes de recolha.
  3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Perfil.
  3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

  1. Abra a Linha de comandos ou o PowerShell como administrador.

  2. Execute o seguinte comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute o seguinte comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

  1. Aceda ao ficheiro de configuração:
    • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

  2. Edite o ficheiro config.yaml da seguinte forma:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CAMBIUM_NETWORKS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID de cliente real.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configure o Syslog no ePMP 1000/2000/Force 180/200 e no ePMP Elevate

  1. Inicie sessão na GUI da Cambium Networks.
  2. Aceda a Configurar > Sistema > Registo de Syslog.
  3. Indique os seguintes detalhes de configuração:
    • Máscara de Syslog: clique em Selecionar tudo.
    • Servidor 1: introduza o endereço IP do agente do Bindplane.
  4. Clique em Guardar.

Configure o Syslog no ePMP 1000 HS e no cnPilot E400/E500/E501

  1. Inicie sessão na GUI da Cambium Networks.
  2. Aceda a Configurar > Sistema > Registo de eventos.
  3. Indique os seguintes detalhes de configuração:
    • Servidor Syslog 1: introduza o endereço IP do agente Bindplane.
  4. Clique em Guardar.

  5. Inicie sessão na CLI do dispositivo através de SSH e introduza o seguinte comando para ativar o nível de depuração:

    logging  cnmaestro  7

  6. Guarde e aplique as definições.

  7. Introduza o seguinte comando para validar os registos do agente do dispositivo a partir da CLI:

    service show debug-logs device-agent

Configure o Syslog no cnPilot R200/R201/R190

  1. Inicie sessão na GUI da Cambium Networks.
  2. Aceda a Administração > Gestão > Definições do registo do sistema.
  3. Indique os seguintes detalhes de configuração:
    • Ativar Syslog: selecione Ativar.
    • Nível de Syslog: selecione INFO.
    • Ativar Syslog remoto: selecione Ativar.
    • Servidor Syslog remoto: introduza o endereço IP do agente Bindplane.
  4. Clique em Guardar.

Configure o Syslog no PA PMP 450/450i/450m

  1. Inicie sessão na GUI da Cambium Networks.
  2. Aceda a Configuração > cnMaestro.
  3. Indique os seguintes detalhes de configuração:
    • cnMaestro Agent Debug Log Level: selecione INFO.
  4. Aceda a Configuração > Syslog.
  5. Indique os seguintes detalhes de configuração:
    • Utilização do servidor DNS Syslog: selecione Desativar nome de domínio DNS.
    • Servidor Syslog: introduza o endereço IP do agente Bindplane.
    • Porta do servidor Syslog: introduza o número da porta do agente do Bindplane.
    • AP Syslog Transmit: selecione Ativado.
    • SM Syslog Transmit: selecione Ativado.
    • Nível mínimo do Syslog: selecione info.
  6. Clique em Guardar.

Configure o Syslog no SM PMP 450/450i/450m

  1. Inicie sessão na GUI da Cambium Networks.
  2. Aceda a Configuração > cnMaestro.
  3. Indique os seguintes detalhes de configuração:
    • cnMaestro Agent Debug Log Level: selecione INFO.
  4. Aceda a Configuração > Syslog.
  5. Indique os seguintes detalhes de configuração:
    • Origem da configuração do Syslog: selecione AP Preferred.
    • Utilização do servidor DNS Syslog: selecione Desativar nome de domínio DNS.
    • Servidor Syslog: introduza o endereço IP do agente Bindplane.
    • Porta do servidor Syslog: introduza o número da porta do agente do Bindplane.
    • Transmissão Syslog: selecione Obter do PA.
    • Syslog Minimum Level Source: selecione AP Preferred.
    • Nível mínimo do Syslog: selecione info.
  6. Clique em Guardar.

Tabela de mapeamento do UDM

Campo de registo Mapeamento de UDM Lógica
bssid read_only_udm.principal.mac Extraído do kv_fields com a chave bssid.
canal read_only_udm.security_result.about.resource.attribute.labels.value Extraído do kv_fields com a chave channel. Parte de uma etiqueta.
host_name read_only_udm.principal.hostname Extraído da mensagem de registo através do padrão grok.
ids_event read_only_udm.security_result.summary Extraído do kv_fields com a chave ids_event.
ids_status read_only_udm.security_result.description Extraído do kv_fields com a chave ids_status. Usado como descrição quando presente.
iap read_only_udm.security_result.about.resource.attribute.labels.value Extraído do kv_fields com a chave iap. Parte de uma etiqueta.
fabricante read_only_udm.security_result.about.resource.attribute.labels.value Extraído do kv_fields com a chave manufacturer. Parte de uma etiqueta.
rssi read_only_udm.security_result.about.resource.attribute.labels.value Extraído do kv_fields com a chave rssi. Parte de uma etiqueta.
segurança read_only_udm.security_result.about.resource.attribute.labels.value Extraído do kv_fields com a chave security. Parte de uma etiqueta.
gravidade read_only_udm.security_result.severity Mapeado a partir da mensagem de registo através do padrão grok. alert é mapeado para HIGH, warn é mapeado para MEDIUM e tudo o resto é mapeado para LOW.
gravidade read_only_udm.security_result.severity_details Mapeado a partir da mensagem de registo através do padrão grok. Preserva o valor de gravidade original.
ssid read_only_udm.principal.application Extraído do kv_fields com a chave ssid.
timestamp read_only_udm.metadata.event_timestamp Extraído da mensagem de registo através do padrão grok e convertido numa indicação de tempo.
read_only_udm.metadata.event_type Determinado com base na presença de valores nos campos security_result e host_name. Se ambos os campos estiverem presentes, o tipo de evento é definido como STATUS_UPDATE. Caso contrário, é GENERIC_EVENT.
read_only_udm.security_result.about.resource.attribute.labels.key O valor deste campo é determinado pela lógica do analisador com base no par de valor-chave específico que está a ser processado. Os valores possíveis são: Internet_Access_Provider, manufacturer, channel, received_signal_strength_indicator e encryption_standard.
read_only_udm.security_result.description Se a gravidade for warn, este campo assume o valor de kv_fields. Caso contrário, assume o valor de ids_status.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.